概览

通过帐号关联,Google 帐号持有人可以快速、无缝、安全地连接到您的服务。您可以选择实现 Google 帐号关联,以便与 Google 应用和服务共享您平台上的用户数据。

安全的 OAuth 2.0 协议可让您安全地将用户的 Google 帐号与其平台上的帐号关联起来,从而授予 Google 应用和设备访问您的服务的权限。

用户可以关联帐号,或者通过 Google 帐号关联在您的平台上选择性地创建新帐号。

使用场景

以下是关联 Google 帐号的一些原因:

  • 与 Google 应用和服务共享您平台上的用户数据。

  • 使用 Google TV 播放您的视频和电影内容。

  • 使用 Google Home 应用和 Google 助理“Ok Google,开灯”来管理和控制已连接的 Google 智能家居设备。

  • 使用对话型 Action 为用户量身打造 Google 助理体验和功能,“Ok Google,我常在 Starbucks 订餐”。

  • 让用户能够在将其 Google 帐号与奖励合作伙伴帐号关联后在 YouTube 上观看符合条件的直播,从而赢取奖励。

  • 在注册期间用来自 Google 帐号个人资料的共享数据预先填充新帐号。

支持的功能

Google 帐号关联支持以下功能:

  • 使用 OAuth 链接隐式流程快速轻松地共享您的数据。

  • 使用 OAuth 关联授权代码流程来提高安全性。

  • 登录现有用户,或者通过 Google 验证的新用户登录您的平台,征得他们的同意,并通过精简关联安全地分享数据。

  • 使用应用快速关联减少障碍。在受信任的 Google 应用中,只需点按一下即可安全地打开经过验证的 Android 或 iOS 应用,点按一次即可授予用户同意并关联帐号。

  • 通过定义自定义范围来共享必要的数据,加强用户隐私保护;通过明确定义数据的使用方式,增强用户信任。

  • 通过解除关联帐号可以撤消对平台上托管的数据和服务的访问权限。实现可选的令牌撤消端点可让您与 Google 发起的事件保持同步,而跨帐号保护(RISC)可让您将 Google 平台上发生的任何解除关联事件通知给 Google。

帐号关联流程

有 3 种 Google 帐号关联流程,所有流程都是基于 OAuth 的,并要求您管理或控制符合 OAuth 2.0 规范的授权和令牌交换端点。

在关联过程中,您需要先征得帐号持有人同意来关联帐号并共享数据,然后才能为个别 Google 帐号向 Google 颁发访问令牌。

OAuth 关联 ('Web OAuth')

这是将用户引导至您的网站进行关联的基本 OAuth 流程。用户会被重定向至您的网站以登录其帐号。登录后,用户就会同意与您的服务共享您在 Google 服务中的数据。此时,用户的 Google 帐号与您的服务已关联。

OAuth 关联支持授权代码和隐式 OAuth 流程。您的服务必须为隐式流程托管符合 OAuth 2.0 规范的授权端点,并且在使用授权代码流程时必须公开授权和令牌交换端点。

图 1. 使用 Web OAuth 在用户手机上关联帐号

基于 OAuth 的应用快速关联 ('App Flip')

一个 OAuth 流程,将用户转到应用以进行关联。

基于 OAuth 的应用快速关联可引导用户在已通过验证的 Android 或 iOS 移动应用与 Google 平台之间切换,让他们查看提议的数据访问更改并表示同意将您的平台上的帐号与其 Google 帐号相关联。要启用应用快速关联功能,您的服务必须支持使用授权代码流程进行 OAuth 关联基于 OAuth 的 Google 登录链接

AndroidiOS 均支持应用快速关联功能。

工作原理

Google 应用会检查您的应用是否已安装到用户设备上:

  • 如果找到应用,用户就会“翻转”到您的应用。您的应用会征求用户的同意,以便将帐号与 Google 关联,然后再翻转回 Google 界面。
  • 如果在应用翻转关联过程中找不到应用或出现错误,系统会将用户重定向到简化版或 Web OAuth 流程。

图 2. 使用应用快速关联功能在用户的手机上关联帐号

基于 OAuth 的精简链接 ('Streamlines')

基于 OAuth 的 Google 登录精简关联功能在 OAuth 关联的基础上增加了 Google 登录功能,让用户能够在未离开 Google 平台的情况下完成关联流程,从而减少阻力和流失次数。基于 OAuth 的精简关联功能将 Google 登录机制与 OAuth 关联功能相结合,提供最佳的登录、帐号创建和帐号关联体验。您的服务必须支持符合 OAuth 2.0 规范的授权和令牌交换端点。此外,您的令牌交换端点必须支持 JSON 网络令牌 (JWT) 断言并实现 checkcreateget intent。

工作原理

Google 会声明用户帐号并将以下信息传递给您:

  • 如果数据库中已存在该用户的某个帐号,则该用户已成功将其 Google 帐号与其在您服务上的帐号相关联。
  • 如果在您的数据库中不存在该用户的帐号,该用户可以创建新 Google 帐号(使用 Google 提供的断言信息):电子邮件地址、姓名和个人资料照片,也可以选择登录并使用其他电子邮件地址进行关联(这需要他们通过 Web OAuth 登录您的服务)。

图 3. 通过精简链接在用户手机上关联帐号

您应该使用哪种流程?

我们建议实现所有流程,以确保用户获得最佳链接体验。精简和应用切换流程有助于减少关联障碍,因为用户只需几步即可完成关联过程。网络 OAuth 关联包含的工作量最少,您可以先开始添加其他关联流程。

使用令牌

Google 帐号关联以 OAuth 2.0 业界标准为基础。

在获得帐号持有人同意来关联帐号并共享数据后,您可以为 Google 帐号分别向 Google 颁发访问令牌。

Token types

OAuth 2.0 uses strings called tokens to communicate between the user agent, the client application, and the OAuth 2.0 server.

Three types of OAuth 2.0 tokens can be used during account linking:

  • Authorization code. A short-lived token that can be exchanged for an access and a refresh token. For security purposes, Google calls your authorization endpoint to obtain a single use or very short-lived code.

  • Access token. A token that grants the bearer access to a resource. To limit exposure that could result from the loss of this token, it has a limited lifetime, usually expiring after an hour or so.

  • Refresh token. A long-lived token that can be exchanged for a new access token when an access token expires. When your service integrates with Google, this token is exclusively stored and used by Google. Google calls your token exchange endpoint to exchange refresh tokens for access tokens, which are in turn used to access user data.

Token handling

Race conditions in clustered environments and client-server exchanges can result in complex timing and error handling scenarios when working with tokens. For example:

  • You receive a request for a new access token, and you issue a new access token. Concurrently, you receive a request for access to your service's resource using the previous, unexpired access token.
  • Your refresh token reply is yet to be received (or is never received) by Google. Meanwhile, the previously valid refresh token is used in a request from Google.

Requests and replies can arrive in any order, or not at all due to asynchronous services running in a cluster, network behavior, or other means.

Immediate and fully consistent shared state both within, and between, your and Google's token handling systems cannot be guaranteed. Multiple valid, unexpired tokens can coexist within or across systems short period of time. To minimize negative user impact we recommend you do the following:

  • Accept unexpired access tokens, even after a newer token is issued.
  • Use alternatives to Refresh Token Rotation.
  • Support multiple, concurrently valid access and refresh tokens. For security, you should limit the number of tokens and token lifetime.
Maintenance and outage handling

During maintenance or unplanned outages Google might be unable to call your authorization or token exchange endpoints to obtain access and refresh tokens.

Your endpoints should respond with a 503 error code and empty body. In this case, Google retries failed token exchange requests for a limited time. Provided that Google is later able to obtain refresh and access tokens, failed requests are not visible to users.

Failing requests for an access token result in a visible error, if initiated by a user. Users will be required to retry linking failures if the implicit OAuth 2.0 flow is used.

Recommendations

There are many solutions to minimize maintenance impact. Some options to consider:

  • Maintain your existing service and route a limited number of requests to your newly updated service. Migrate all requests only after confirming expected functionality.

  • Reduce the number of token requests during the maintenance period:

    • Limit maintenance periods to less than the access token lifetime.

    • Temporarily increase the access token lifetime:

      1. Increase token lifetime to greater than maintenance period.
      2. Wait twice the duration of your access token lifetime, enabling users to exchange short lived tokens for longer duration tokens.
      3. Enter maintenance.
      4. Respond to token requests with a 503 error code and empty body.
      5. Exit maintenance.
      6. Decrease token lifetime back to normal.

向 Google 注册

我们需要您的 OAuth 2.0 设置的详细信息并共享凭据以启用帐号关联。如需了解详情,请参阅注册